XSS漏洞檢測的研究與設計

劉偉明+曾澤宇+劉帥+張瑞霞

摘要：該系統設計實現了一個XSS測試用例模型，通過網絡爬蟲對網站進行鏈接爬取，并根據設計的測試用例模型生成測試用例集合，將測試用例集合提交至網站，監測網站是否具有XSS漏洞。系統的爬蟲模塊采用基于廣度優先搜索策略的多線程技術，爬蟲配置功能能夠使用戶自定義多個配置爬蟲的參數。經過測試用例檢測后，系統能高效準確地發現XSS漏洞。

關鍵詞：Web；XSS檢測；用例模型；Python

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）04-0014-02

1 背景

在互聯網技術飛速發展的今天，人們已經越來越多的依賴互聯網。互聯網固然豐富了人們的生活，但是其存在的安全問題也給人們帶來了很多危害。在眾多的網絡安全問題中，針對Web應用程序的攻擊已經成為網絡攻防的熱點，而在Web攻擊中，XSS攻擊是其中一中十分流行和影響嚴重的攻擊。利用XSS攻擊，攻擊者可以獲取用戶隱私，盜取用戶身份Cookie，劫持用戶的瀏覽器等，危害十分嚴重，給用戶帶來了嚴重的生活困擾，給企業帶來了巨大的經濟損失。因此，如何檢測XSS漏洞，保障Web應用程序免受XSS攻擊已經成為一個十分有必要的研究課題。本系統以此為目標，針對XSS漏洞檢測，對其測試用例進行了深入的研究，設計了一個以攻擊位置的不同來進行分類的測試用例模型。

2 系統的設計

系統主要分為兩大模塊：網絡爬蟲模塊和XSS檢測模塊。如圖1所示。 網絡爬蟲模塊主要功能是對Web頁面源代碼的爬取，完成網頁源代碼的下載并提取其中的URL鏈接和解析出表單，為XSS檢測模塊提供需要測試的URL鏈接和表單。……